最近Vyper言語に発見された欠陥により様々なプールでエクスプロイトの被害にあった分散型金融(DeFi)プロトコルのCurveは、攻撃者の身元を明らかにするために185万ドルの報奨金を提供している。この発表は、攻撃者が盗まれた資金の一部をAlchemixやJPEG’dを含む他のプロトコルに返還したことを受けて行われた
。
カーブが攻撃者に懸賞金をかける
分散型金融プロトコル(DeFi)のCurveは、最近Vyper言語に含まれる欠陥を悪用された。
数日前に報告したように、この攻撃者はAlchemixに払い戻しを行い、プロトコルで約束された10%の報奨金に興味があったのではなく、むしろそれを台無しにしないことに興味があったことを示している。その後、彼は盗んだ暗号通貨をJPEG’dプロトコルに全額返却した。
しかし、攻撃者はCRV-ETH流動性プールから1,400万ドルを吸い上げたCurveにはまだ資金を返していない。
Funds hosted in attacker’s wallet
その結果、Curveが以前発表したように、ハッカーの身元が危険にさらされることになった
。
The deadline for the CRV/ETH exploit passeshttps://t.co/VphQ0bfYr2 pic.twitter.com/x8LP9Tx4rs
– Curve Finance (@CurveFinance) 2023年8月6日
Via on-chain message, Curve has warned the attacker that the case will end up in court if he don’t return the funds himself:
「Curveエクスプロイトの自発的な資金返却期限はUTC 08:00に過ぎました。私たちは現在、懸賞金を一般に拡大し、裁判所による有罪判決につながる方法で悪用者を特定できた人物に、悪用された残りの資金(現在185万米ドル)の10%相当の報奨金を提供しています。
主要なDeFiプロトコルが重傷を負った
7月30日、いくつかの古いバージョンのVyperに0-day脆弱性が発見された後、いくつかのCurveプールが攻撃され、分散型金融の世界に混乱を引き起こした。実際、CurveはDeFiの絶対的な主要プレーヤーであり、このような攻撃は被害が幸いにも軽減されたとはいえ、影響がないわけではない。
主な危険は、カーブのCEOであるマイケル・エゴロフが様々なプロトコルで持つポジションに関するものだった。特に、Aave V2の1億ドル以上のポジションは、CRV価格が0.39ドルを下回れば清算される恐れがあった。
幸いなことに、マイケル・エゴロフ氏はCRVトークンを店頭で売却することで、彼の様々な融資に流動性を提供し、それらを維持することができた。現在、CRVは0.6ドル前後で推移しており、これらのポジションは健全であると考えることができる。例えば、Aave氏の最大のポジションは、執筆時点で2.18の健全性を持っている。
カーブのトータル・ロック・バリュー(TVL)も攻撃の影響を受けたが、その後わずかに回復している。
CurveプロトコルのTVL
最新のデータによると、盗まれた資金の73%(5230万ドル)が返還された。攻撃者が報奨金を回収し訴追を避けるために残りの資金を返却するのか、それとも沈黙を守るのか、今後の展開が注目される。
